OWASP Top 10 近日發布了 2025 年版的 Release Candidate 1 (RC1)。這份清單不僅反映了當前資安威脅的演變,更揭示了未來幾年開發者與企業必須面對的戰略重點。

本次更新最大的亮點,在於從關注單純的「漏洞症狀」轉向深入探討風險的「根本原因」,而軟體供應鏈安全更是被視為重中之重。


一、 什麼是 OWASP Top 10?


OWASP Top 10 是一份由全球應用程式安全社群共同維護的指南,旨在提升業界對最嚴峻資安風險的認知。對於企業而言,這份列表提供了極佳的培訓效益,協助開發團隊專注於與特定程式語言或框架相關的常見弱點清單(CWEs)。

自 2021 年起,OWASP 採用了更加成熟的方法論:「資料知情,而非盲目地被資料驅動(Data-informed, not data-driven)」。透過平衡來自全球的量化測試數據與資安專家的前瞻性意見,Top 10 致力於涵蓋當前與未來的關鍵威脅。


二、 RC1 (候選版本) 的意義:洞察未來資安重點


為什麼 RC1(候選版本)如此重要?因為單純依賴測試數據,本質上是在「回顧過去」。研究人員開發新的測試方法並將其整合進自動化工具往往需要數年時間,這導致數據可能會有滯後性。

為了彌補這一點,OWASP 透過社群審閱機制來預測未來。在 2025 年的十個類別中:

    8 個類別:基於實際貢獻的數據選出。
    2 個類別:來自社群問卷調查,由第一線專家投票選出。

這種機制確保了那些「極具破壞性但難以自動化測試」的新興風險(如供應鏈攻擊)能夠被納入視野,真實反映未來幾年的防禦重點。


以下是 2025 年 RC1 版本的完整名單:

    A01:2025 - 權限控制失效 (Broken Access Control)
    A02:2025 - 安全設定缺陷 (Security Misconfiguration)
    A03:2025 - 軟體供應鏈失敗 (Software Supply Chain Failures)
    A04:2025 - 加密機制失效 (Cryptographic Failures)
    A05:2025 - 注入攻擊 (Injection)
    A06:2025 - 不安全的設計 (Insecure Design)
    A07:2025 - 身份驗證失效 (Authentication Failures)
    A08:2025 - 軟體或資料完整性失效 (Software or Data Integrity Failures)
    A09:2025 - 記錄與監控失效 (Logging & Alerting Failures)
    A10:2025 - 異常狀態處理不當 (Mishandling of Exceptional Conditions)



三、 深度解讀新類別:供應鏈與異常處理


2025 年版引入了兩個全新的關鍵類別,這也是開發者必須立即關注的領域:

圖片來源:OWASP Top 10:2025

A03:2025 - 軟體供應鏈失敗 (Software Supply Chain Failures)

這是本次更新的絕對焦點,由舊版 A06「含有已知漏洞和過期元件」擴展而來。

核心變化:不再只看單一元件是否過期,而是涵蓋整個軟體生態系統、依賴關係、建構系統(Build Systems)以及分發基礎設施的漏洞。

風險解讀:雖然在自動化測試數據中出現頻率不高(因為極難測試),但它在社群調查中被壓倒性選為首要關注點。且從 CVE 數據來看,此類別擁有最高的平均利用與影響分數,代表一旦發生,後果將最具毀滅性。

A10:2025 - 異常狀況處理失誤 (Mishandling of Exceptional Conditions)

這是另一個新增類別,涵蓋了 24 個 CWEs。

定義: 涵蓋了錯誤處理不當、邏輯錯誤,以及當系統遇到異常時發生「失效開放 (Failing Open)」的情況。

解讀: 過去我們常忽略錯誤訊息洩露資訊,或是在程式崩潰時意外繞過了安全檢查。隨著微服務與分散式系統的普及,系統間的狀態處理變得極為複雜,這類邏輯漏洞正成為攻擊者的新寵。

核心關注:專注於系統在遇到異常條件時的反應。例如:錯誤處理不當導致資訊洩漏、邏輯錯誤,或是系統崩潰時發生「安全開啟(Failing Open)」導致防護失效的情況。


四、 消失或合併的類別


為了聚焦「根本原因」,2025 年版進行了顯著的整併與調整:

  1. SSRF 併入 A01:2021 年獨立的 Server-Side Request Forgery (SSRF) 現在被歸類為一種權限控制問題,併入 A01:2025 - 破損的存取控制。這也鞏固了 A01 作為資安頭號風險的地位。

  2. 供應鏈範圍擴大:原有的 A06「含有已知漏洞和過期元件」已正式退場,被更宏觀的 A03:2025 - 軟體供應鏈失敗 取代。

其他重要排名變動:

    A02:2025 - 安全配置錯誤:從第 5 名躍升至 第 2 名。隨著現代應用程式高度依賴複雜的配置(如雲端、容器),配置錯誤已成為僅次於權限控制的普遍風險。

    A09:2025 - 日誌記錄與警報失敗:更名強調了「警報 (Alerting)」。僅有 Log 而無警報機制,對於即時識別資安事件毫無價值。

    A07:2025 - 身份驗證失敗:排名維持但名稱微調,由於標準化身份驗證框架(如 OAuth, OIDC)的普及,此類風險的發生率已有改善跡象。


五、 開發者與企業的應對策略


面對從「症狀」轉向「根本原因」的趨勢,企業應採取以下四大行動:

  1. 專注於設計階段 (Secure by Design): 雖然「不安全的設計」排名微降,但業界仍需持續「向左移動(Shift Left)」。在寫 Code 之前,必須先進行威脅建模,並採用安全的架構原則。

  2. 全面檢視供應鏈完整性 (Verify Integrity): 針對 A03 的威脅,企業不能只檢查「有沒有過期的 Library」。必須審視整個 CI/CD 流程、建構系統的安全性,以及分發管道的完整性驗證。

  3. 強化配置管理 (Configuration Management): 面對 A02 的竄升,企業應建立自動化流程,確保所有高度可配置的軟體(尤其是雲端基礎設施)都能正確且安全地應用設定。

  4. 落實警報機制 (Actionable Alerting): A09 提醒我們,不要只是「記錄」日誌。必須建立有效的監控與警報規則,確保當異常發生時,資安團隊能立即採取行動。



六、 總結


OWASP Top 10 2025 RC1 的發布傳遞了一個清晰的信號:應用程式安全已不再只是修補單一漏洞,而是關於架構與生態系統的韌性

雖然 A01 存取控制 依然是當前的頭號威脅,但 A03 軟體供應鏈失敗 的崛起,標誌著戰場的擴大。駭客正在攻擊你的上游與建構過程。開發者與企業唯有全面考慮依賴關係、建構安全與設計決策,才能在未來的資安戰役中站穩腳步。